Неконтролируемый интернет-трафик

[vicmic]

Периодически возникает трафик 200-300 Кб/сек. Вот и сегодня: обновление завершилось, сижу, Open News читаю... Nautilus что-то там копирует с диска на диск... Решил посмотреть загрузку процессора - включил системный монитор - вот это да! Интернет-трафик под 300 Кб/с, и не прекращается. Кто бы это мог быть? Включил NetHogs - ничего не понимаю - никто такого трафика не кушает. Вдруг трафик упал до нуля - еле успел снимок сделать. Вот, полюбуйтесь - что это по-вашему?

[john1400]

главное ядро Linuxа и фирефокс не отсылает ничего, а входящий так же
от 1e100

Код: [Выделить]

sudo iftop -i usb 0скан портов zenmap gui nmap там обычно 30кб входящий а не 300кб

все в порядке.  Бди! 

[ArcFi]

Наверно поиск обновлений.
От рута монитор запускайте.

[vicmic]

Наверно поиск обновлений.
От рута монитор запускайте.

Так я только что обновился.
А sudo nethogs eth0 - это запуск не от root?

[ArcFi]

Вероятно, какое-то ограничение возможностей nethogs.
В следующий раз сделайте так:

Код: [Выделить]

sudo iftop -BNP -i eth0

[vicmic]

А вот iftop у меня нет. Что это за зверь? Что делает? Что может?

[yura_n]

У вас же прямо на скриншоте видно, что Skype какими-то своими делами занимается. А Skype - лошадка темная.

[vicmic]

У вас же прямо на скриншоте видно, что Skype какими-то своими делами занимается. А Skype - лошадка темная.

Да нет, это уведомления - я их давно просмотрел, но они почему-то висят.
И сейчас вот они висят - и ничего...
Ну, иногда кто-нибудь в скайпе объявится - ну, выскочит объявление, но это же не 300 Кб/с несколько минут... Причём это явление наблюдается независимо от того, включён скайп или нет.
Шпиён, наверное...
Чем бы его отловить?

[peregrine]

vicmic, скайп хитёр. Если у кого-то серый ip и он звонит абоненту с серым ip, т.е. они не могут соединиться напрямую, угадай, как они соединяются? Выбирается абонент с достаточно стабильным и широким каналом и реальным ip адресом, а их соединения инициализируются через этого абонента. Но да, полный вывод от рута предпочтителен.

[ArcFi]

На скрине процесс запущен от рута и общается по TCP.
Навскидку за подобным делом мне вспоминается лишь апдейтер (если не брать в расчёт сервер).
NTP/DNS/DHCP тоже от рута, но в основном по UDP и кушают очень мало.
Чаты, VoIP, погода, браузер и т.п. должны работать от юзера.

[vicmic]

Вероятно, какое-то ограничение возможностей nethogs.
В следующий раз сделайте так:

Код: [Выделить]

sudo iftop -BNP -i eth0

Отчитываюсь:
Установил iftop, картина теперь соответствует "Системному монитору" - входящий трафик 250Kb/s, исходящего практически нет - вот картинка:

Комментарии к ситуации - обновления завершены, браузеры закрыты, skype даже не запускал.
Попытался поискать по IP:
http://233.7.70.108/ - нет доступа
ws.92.127.154.30 - это, по-видимому, iptv, но я не подключался к нему.
Да, перед этим я смотрел видео с сайта Вестей. Но ведь я закрыл браузер, а трафик продолжается...
Кто кушает трафик?
Обнаружил ещё несоответствие: в "Системном мониторе" по данным индикатора - загрузка ЦП постоянно почти 100%, а на вкладке "Процессы" - от 1 до 3 процессов загружают ЦП от 3% до 30%, ну изредка больше. Ну вот, например:

Что-то грузит процессор, а что - не видно...  Так похоже на вирусы в Windows...
Или "Системный монитор" врёт...
А вот сейчас воровство трафика прекратилось, хотя открыт Chromium.

[Dfg]

Wireshark поставь и смотри что по сети шарится и куда.

[ArcFi]

vicmic, засветился порт 5000.
Смотрим, какие процессы с ним связаны:

Код: [Выделить]

sudo ss -anp | grep 5000

[vicmic]

Wireshark поставь и смотри что по сети шарится и куда.

Пставил Wireshark, но не могу заставить его работать с eth0, только bluetooth, почему-то...

[ArcFi]

Пставил Wireshark, но не могу заставить его работать с eth0, только bluetooth, почему-то...

Надо добавить себя в группу wireshark и релогин.